firma normalizada - sede.seg-social.gob.es

FIRMA NORMALIZADA

Configuración de entorno para la Firma Normalizada. Solución mediante

Firma Pros@ (jnlp)

12/04/2021

Versión: 2.1

Clasificación: Público

Firma Normalizada – Solución jnlp 2 de 27 Centro de Seguridad de la Información

CONTROL DE VERSIONES

Título FIRMA NORMALIZADA (Solución jnlp)

Autor AISS

Fecha versión 1.0 22/08/2017

Versión Fecha Responsable Cambios introducidos

1.1 30/10/2017 Dirección de Seguridad, Innovación y Proyectos Actualización en la resolución de in-

cidencias

1.2 25/09/2018 Dirección de Seguridad, Innovación y Proyectos Actualización del proceso de firma

1.3 26/09/2018 Dirección de Seguridad, Innovación y Proyectos Actualización requisitos de java

1.3.1 19/07/2019 Dirección de Seguridad de la Información Incremento del tiempo disponible

para firmar

1.3.2 02/09/2019 Dirección de Seguridad de la Información Ayuda al proceso de descarga y eje-

cución del módulo jnlp

2.0 24/07/2020 Centro de Seguridad de la Información Actualización de contenidos

2.1 12/04/2021 Centro de Seguridad de la Información Cambio aceptación certificados de

confianza de FNMT-RCM


INDICE

1. OBJETIVO ............................................................................................................................ 4

1.1. SERVICIOS DE LA SEDE QUE UTILIZAN LA FIRMA NORMALIZADA (JNLP) .......................................... 4

2. COMPATIBILIDAD DE SISTEMAS OPERATIVOS Y NAVEGADORES EN EL SISTEMA DE FIRMA NORMALIZADA ................................................................................................................... 5

3. CONFIGURACION DE JAVA ................................................................................................... 6

3.1. CONFIGURACIÓN DE LA MÁQUINA VIRTUAL DE JAVA ...................................................................... 6

3.1.1. Configuración de opciones avanzadas de Java ....................................................................................... 6

3.1.2. Inclusión de urls de confianza de los servidores de la Seguridad Social................................................. 7

3.1.3. Eliminación de datos temporales y restauración de valores de seguridad de java ................................ 7

3.1.4. Importación del certificado Raíz de la FNMT-RCM en el almacén de Java. ............................................ 8

4. CONFIGURACIÓN DE NAVEGADORES ................................................................................. 10

4.1. CERTIFICADOS DE CONFIANZA ........................................................................................................ 10

4.1.1. Descarga de los certificados Raíz e intermedios de FNMT-RCM .......................................................... 10

4.1.2. Instalación de los certificados Raíz e intermedios de FNMT-RCM en IExplorer, Chrome y Edge ......... 10

4.1.3. Instalación de los certificados Raíz e intermedios de FNMT-RCM en Firefox ...................................... 12

4.1.4. Instalación de los certificados Raíz e intermedios de FNMT-RCM en Safari (MacOS) .......................... 13

5. ASOCIACIÓN DEL TIPO DE ARCHIVO JNLP A JAVA WEB START. ............................................ 15

5.1. DESCARGAR EL ARCHIVO JNLP AL DISCO......................................................................................... 15

5.2. ASOCIAR EL TIPO DE ARCHIVO JNLP A LA APLICACIÓN JAVA™ WEB START LAUNCHER ................. 17

5.2.1. En Windows .......................................................................................................................................... 17

5.2.2. En Mac/OS ............................................................................................................................................ 18

6. DESCRIPCION DEL PROCESO DE FIRMA NORMALIZADA (JNLP) ............................................ 21

7. RESOLUCIÓN DE INCIDENCIAS ............................................................................................ 24

7.1. SUPERADO NÚMERO MÁXIMO DE REINTENTOS ............................................................................ 24

7.2. EL SERVIDOR HA DEVUELTO UN VALOR INESPERADO .................................................................... 24

7.3. ERROR AL ACCEDER AL CERTIFICADO .............................................................................................. 25

8. COMUNICACIÓN DE INCIDENCIAS Y SUGERENCIAS ............................................................. 27


1. OBJETIVO

El sistema de Firma Normalizada basado en el sistema de Protocolo de Ejecución en Red Java (jnlp),

sustituye al de firma mediante Applets en la casi totalidad de los servicios web de la Seguridad Social.

En el presente manual se describe las pautas de configuración de Java y de los navegadores compa-

tibles con este tipo de firma.

1.1. SERVICIOS DE LA SEDE QUE UTILIZAN LA FIRMA NORMALIZADA (JNLP)

La práctica totalidad de los servicios web de la Sede de la Seguridad Social utilizan el Sistema de

Firma Normalizada. Consulte el listado de servicios y tipo de firma asociado en el apartado de Re-

quisitos de Firma Electrónica:

https://sede.seg-social.gob.es/binarios/es/Listados_tipo_firma

En el listado, los servicios que admiten Firma Normalizada que además incluyen el icono: per-miten la firma con certificado centralizado o firma en la nube basado en el sistema de identificación

de Cl@ve Permanente. Puede obtener más información en el portal de Cl@ve:

https://clave.gob.es/clave_Home/clave.html

https://sede.seg-social.gob.es/binarios/es/Listados_tipo_firma




2. COMPATIBILIDAD DE SISTEMAS OPERATIVOS Y NAVEGADORES EN EL SISTEMA

DE FIRMA NORMALIZADA

Cuadro de compatibilidad de Sistemas Operativos y navegadores para la firma mediante certificado

digital:

Actualmente los siguientes sistemas operativos y navegadores son los únicos compatibles con este

tipo de firma:

Sistemas Windows: Internet Explorer, Microsoft Edge, Google Chrome.

Sistemas Mac/OS: Safari y Google Chrome.

En el caso de Firefox, hay que indicar que sólo funciona en su versión de 64 Bits, y además requiere que el certificado esté instalado en el almacén de certificados del Sistema Operativo co-

rrespondiente, por lo que se recomienda el uso de otros navegadores.


3. CONFIGURACION DE JAVA

Puede descargar o actualizar la Máquina Virtual de Java desde su página oficial: www.java.com

3.1. CONFIGURACIÓN DE LA MÁQUINA VIRTUAL DE JAVA

o Para acceder al panel de control de Java en sistemas Windows:

1. Pulse con el ratón en el menú Inicio de Windows.

2. Busque Java en los programas que aparecen

3. Haga clic con el botón derecho del ratón sobre Configurar Java -> pulse en Más -> finalmente

Ejecutar como administrador.

o Para acceder al panel de control de Java en Mac OS X (10.7.3 y versiones posteriores):

1. Haga clic en el icono de Apple en la esquina superior izquierda de la pantalla.

2. Vaya a Preferencias del sistema 3. Haga clic en el icono de Java para acceder al panel de control de Java.

3.1.1. Configuración de opciones avanzadas de Java

Una vez dentro del Panel de Control, acceda a la pestaña “Avanzado”. Verifique que las siguientes

opciones están marcadas o desmarcadas tal y como se indica a continuación:

En el caso de que desee utilizar Firefox deberá marcar además:

http://www.java.com/

http://www.java.com/


3.1.2. Inclusión de urls de confianza de los servidores de la Seguridad Social

Para evitar bloqueos de seguridad a la hora de descargar el fichero ProsaFirma.jnlp se recomienda

incluir en la lista de sitios de confianza de Java las siguientes direcciones de servidor:

Habiendo accedido al panel de control de java en modo administrador, en la pestaña Seguridad

pulse en el botón Editar lista de Sitios:

Añada una a una las siguientes urls:

- https://w2.seg-social.es



Acepte y continúe con el siguiente apartado de configuración.

3.1.3. Eliminación de datos temporales y restauración de valores de seguridad de java

Es recomendable realizar estas operaciones si tiene sospechas que los procesos relacionados Java

muestran un comportamiento inadecuado o dejan de funcionar.

Abrir el Panel de Control de Java, tal y como se explica en el apartado anterior.

• En la pestaña General, en el apartado Archivos temporales de internet, pulse Configuración:


A continuación pulse Suprimir Archivos, marque las tres opciones y Acepte.

• En la pestaña Seguridad, pulsar en Restaurar Peticiones de Datos de Seguridad, posteriormente

Restaurar todo:

3.1.4. Importación del certificado Raíz de la FNMT-RCM en el almacén de Java.

Descargue el certificado Raíz de la FNMT en una unidad local del equipo, siguiendo las indicaciones del apartado: 4.1.1

En el panel de control de Java, acceda a la pestaña Seguridad -> Botón: Gestionar Certificados. una

vez allí seleccione la carpeta CA Firmante y pulse el botón Importar. Localice el certificado y pulse Abrir. Puede que tenga que “todos los archivos” para localizar el certificado.


4. CONFIGURACIÓN DE NAVEGADORES

4.1. CERTIFICADOS DE CONFIANZA

Los certificados de confianza firmantes actuales, tanto el de los servidores de la Seguridad Social

como el que certifica el software involucrado en los procesos de firma, por lo general ya vienen

incluidos en los navegadores de internet más habituales. No obstante, se aconseja verificarlo y en

caso de que dé algún error el proceso de firma por falta de confianza en la entidad firmante deberá

instalar los siguientes certificados raíz e intermedio de la FNMT-RCM (Fábrica Nacional de la Mo-

neda – Real Casa de la Moneda).

4.1.1. Descarga de los certificados Raíz e intermedios de FNMT-RCM

La página de descarga de certificados de la Autoridad de Certificación de la FNMT-RCM es:

Certificados raíz de la FNMT - Sede

Descargar los siguientes certificados a una unidad local del equipo.

Certificado Raíz:

Descarga certificado AC Raíz FNMT-RCM

Certificados Intermedios:

Descarga certificado AC FNMT Usuarios

Descarga certificado AC Componentes Informáticos

4.1.2. Instalación de los certificados Raíz e intermedios de FNMT-RCM en IExplorer, Chrome y

Edge

Localizar la carpeta donde se han descargado los certificados y con cada uno pulsar con el botón

derecho del ratón y seleccionar: “Instalar certificado”.

Se iniciará el proceso de importación. Pulse Siguiente.

https://www.sede.fnmt.gob.es/descargas/certificados-raiz-de-la-fnmt

https://www.sede.fnmt.gob.es/descargas/certificados-raiz-de-la-fnmt

https://www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Raiz_FNMT-RCM_SHA256.cer

https://www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Raiz_FNMT-RCM_SHA256.cer

https://www.sede.fnmt.gob.es/documents/10445900/10526749/AC_FNMT_Usuarios.cer

https://www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Componentes_Informaticos_SHA256.cer


Marque “Colocar todos los certificados en el siguiente almacén” y pulse “Examinar”

Para el certificado Raíz: Marque la opción “Mostrar almacenes físicos” y seleccione la carpeta “En-

tidades de certificación Raíz de Confianza” -> Carpeta “Registro”. Pulse “Aceptar”.

Para los certificados intermedios: Marque la opción “Mostrar almacenes físicos” y seleccione la carpeta “Entidades de certificación Raíz de Confianza” -> Carpeta “Registro”. Pulse “Aceptar” y “fi-

nalizar”.


4.1.3. Instalación de los certificados Raíz e intermedios de FNMT-RCM en Firefox

Abrir Firefox y seleccionar Herramientas -> Opciones -> Privacidad y Seguridad -> Ver Certificados

Seleccionar la pestaña Autoridades y pulsar Importar. Localizar y seleccionar el certificado raíz de

la FNMT descargado. Habilitar “Confiar en esta CA” y aceptar.

Repetir este mismo procedimiento con el resto de los certificados intermedios descargados.


4.1.4. Instalación de los certificados Raíz e intermedios de FNMT-RCM en Safari (MacOS)

(*) Es posible que las imágenes siguientes difieran según la versión de Mac/OS que disponga

Con la utilidad Spotlight buscar y ejecutar la aplicación Acceso a Llaveros.app

Pulsar en la Categoría Certificados donde importaremos los certificados raíz e intermedios descarga-dos.

En el menú de la barra superior desplegar la opción Archivo y pulsar en Importar elementos o Importar Items

Localizar el certificado a importar, seleccionarlo y pulsar Abrir.


El certificado quedará instalado en el llavero:

Repetir esta misma operación con el resto de los certificados.


5. ASOCIACIÓN DEL TIPO DE ARCHIVO JNLP A JAVA WEB START.

Por razones de seguridad los navegadores por defecto no ejecutan archivos del tipo jnlp sin el con-

sentimiento del usuario. El usuario deberá en todos los casos aceptar la descarga o la ejecución del

archivo ProsaFirma.jnlp para que el proceso de firma se lleve a cabo.

Si tras descargar el archivo y ejecutarlo, la firma no progresa o bien se muestra un error, es muy

probable que el tipo de archivo jnlp no esté correctamente asociado a la aplicación Java™ Web

Start Launcher, módulo que se incluye en la Máquina Virtual de Java (JRE), por lo tanto, si no dis-

pone de Java o si tiene que actualizarlo, antes de continuar, siga las instrucciones descritas en el

apartado 3 de este manual.

A continuación, se explica el modo de asociar adecuadamente el tipo de archivo jnlp a Java™ Web

Start Launcher.

5.1. DESCARGAR EL ARCHIVO JNLP AL DISCO

El archivo jnlp se descargará cuando se pulse el botón Firmar. Iniciado el proceso de firma y según

el navegador utilizado, los mensajes de seguridad mostrados a la hora de descargar el módulo jnlp

pueden variar:

• En Internet Explorer

Si por algún motivo el tipo de archivo jnlp estuviera asociado a otra aplicación o simplemente

no estuviera asociado a Java™ Web Start Launcher, se mostrará al pie de página el siguiente

mensaje:

Pulsar en Guardar Guardar Como... Ubicar el archivo en un directorio donde poder localizarlo

posteriormente.

• En Chrome y EDGE

Tras pulsar Firmar y Enviar se mostrará en la parte inferior de la pantalla la advertencia de se-

guridad siguiente:

Pulsar Descargar.

Una vez finalizada la descarga, pulsar en el desplegable y elegir Mostrar en carpeta.


Se abrirá el administrador de archivos del sistema.

• En Mozilla Firefox

Tras pulsar Firmar y Enviar, se mostrará una ventana como ésta:

Marcar Guardar archivo y pulsar Aceptar. Pulsar Ctrl + J, o bien acceder al apartado de descar-

gas, icono que se encuentra en la parte superior derecha del navegador:

Pulsar en la carpeta asociada al archivo y situarse en la carpeta donde está ubicado.


5.2. ASOCIAR EL TIPO DE ARCHIVO JNLP A LA APLICACIÓN JAVA™ WEB START LAUNCHER

5.2.1. En Windows

Una vez salvado el archivo y localizado en el disco, pulsar con el botón derecho del ratón sobre él y

seleccionar Java ™ Web Launcher

Si no aparece en el listado, seleccionar Elegir otra aplicación

Se mostrará un listado de aplicaciones instaladas en el sistema, seleccionar Java™ Web Start Laun-cher, marcar en la parte inferior Usar siempre esta aplicación…


Si tampoco apareciera en el listado de aplicaciones por defecto, pulse en Más Aplicaciones y al final

del listado seleccionar Buscar otra aplicación en el equipo:

Abierto el administrador de archivos, situarse en C:\Archivos de programa\Java\Jre<versión>\Bin\

(*) puede que su versión de java sea de 32 bits, en cuyo caso se encontrará en C.\archivos de pro-

grama x86\java\jre<versión>\bin\

Seleccione la aplicación javaws.exe

5.2.2. En Mac/OS

a) Habilitar la descarga y ejecución de aplicaciones desde internet:

Por defecto Mac no permite ejecutar aplicaciones descargadas de internet, y éste puede ser el caso

al descargar el fichero ProsaFirma.jnlp, por lo tanto, habrá que desbloquear esta opción de seguri-

dad.

(*) Hay que tener en cuenta que las imágenes pueden variar según la versión de Mac/OS que se tenga.

• En versiones Yosemite, Capitán:

1. Preferencias del Sistema > Seguridad y Privacidad. Debemos estar dentro de la pestaña Ge-

neral y verificar que se muestra la opción: “Permitir aplicaciones descargadas de Cualquier sitio”

2. Si la opción está bloqueada, pulsar el candado para su desbloqueo.


• versiones posteriores

1. Lo primero será abrir la Aplicación de Terminal: En “Aplicaciones” escribir “terminal” para

buscar esta aplicación.

2. Una vez abierto escribir el siguiente comando:

sudo spctl –master-disable

3. Se solicitará la contraseña de Administrador para confirmar los cambios.

4. En Preferencias del Sistema > Seguridad y Privacidad, dentro de la pestaña “General”; en la

parte inferior verificar la opción: “Permitir aplicaciones descargadas de cualquier sitio”

(*) Si deseara volver a la configuración original abrir la Aplicación de Terminal escribir el siguiente

comando:

sudo spctl --master-enable

b) Asociar el tipo de archivo jnlp a la aplicación Java™ Web Start Launcher:


Localice mediante Finder el archivo descargado ProsaFirma.jnlp. Pulse con el botón derecho del ra-

tón sobre él para que aparezca el menú emergente:

Seleccione Obtener información. En la parte inferior de la siguiente ventana seleccione la aplicación Java Web Start, y presione el botón Cambiar todo para que el cambio sea permanente.


6. DESCRIPCION DEL PROCESO DE FIRMA NORMALIZADA (JNLP)

Una vez configurado Java y el navegador a utilizar, y habiendo asociado correctamente el tipo de

archivo jnlp a Java Web Start (Java web Launcher), una vez se pulse el botón Firmar se iniciará la

descarga de ProsaFirma.jnlp. Según el navegador utilizado, los mensajes de aviso de seguridad pue-

den variar, en todos los casos deberá aceptar la descarga del archivo jnlp y posteriormente abrirlo

para su ejecución:

• En Edge:

• En Chrome:

• En Firefox:


• En IExplorer y Safari: si están correctamente configurados y asociado el tipo jnlp a Java Web Start, la aplicación se iniciará inmediatamente.

Una vez Iniciado el proceso de firma, el sistema analiza la seguridad el módulo jnlp descargado,

mostrándose una ventana con información sobre la seguridad del certificado con el que se firmó el

propio módulo jnlp. Esta firma certifica la integridad y autenticidad del módulo jnlp

Si lo desea, puede marcar la opción “No volver a mostrar esto otra vez…” Para que no aparezca esta ventana en futuras ocasiones.

Tras pulsar en Ejecutar aparecerá la ventana de selección de certificados para realizar la firma:

Si se marca la primera opción se podrá seleccionar uno de los certificados válidos del almacén del

sistema o de una tarjeta criptográfica; en este caso se puede aplicar un filtro en la parte inferior del

diálogo para mostrar los certificados de un determinado DNI; esto es útil si se dispone de varios

certificados en el almacén.


Si se marca la segunda opción se podrá seleccionar el certificado en fichero almacenado en el

equipo. Pulsar el icono a la derecha de esta opción para Examinar y localizar el certificado deseado,

éste debe estar en formato pkcs#12 (con extensión pfx o p12). Una vez seleccionado, introduzca la

contraseña que protege el archivo.

A continuación, se inicia el proceso de envío del documento firmado a los servidores de la Seguridad

Social. Dependiendo el navegador utilizado puede aparecer una ventana con un listado de los cer-

tificados disponibles en el sistema.

Importante: Si se le solicita en este punto seleccionar un certificado, asegúrese de elegir el mismo

certificado que seleccionó para autenticarse en el servicio web.

Si no ha habido incidencias en el proceso, el documento se enviará correctamente.


7. RESOLUCIÓN DE INCIDENCIAS

La apariencia de los mensajes de error que pueden mostrarse en el proceso de firma depende del

modo en el que la propia aplicación captura y gestiona las incidencias, por lo tanto, los mensajes

que se muestran aquí, pueden diferir algo en su apariencia.

7.1. SUPERADO NÚMERO MÁXIMO DE REINTENTOS

7.1.1. Mensaje que se muestra

Error: El documento XML firmado no es válido. Error al firmar. Código de incidencia:xxxxxxxxxx

7.1.2. Explicación del error

Este error se puede producir por diversos motivos en el proceso de ejecución.

7.1.3. Solución

Para su análisis y resolución, apunte el código de incidencia y abra una consulta a través del Buzón

de Consultas de la página de la Seguridad Social:

http://www.seg-social.es/wps/portal/wss/internet/FAQ

7.2. EL SERVIDOR HA DEVUELTO UN VALOR INESPERADO


Error: El servidor ha devuelto un valor inesperado, no se ha podido enviar el XML firmado


Se ha sobrepasado el tiempo límite de 5 minutos para completar el proceso de firma y envío.

7.2.3. Solución

Verificar que el proceso completo se ha realizado dentro del tiempo límite de 5 minutos.




Comprobar que se han atendido adecuadamente los mensajes de alerta y se han respondido ade-

cuadamente los requerimientos de seguridad.

7.3. ERROR AL ACCEDER AL CERTIFICADO


Error: Error al acceder al certificado


Este error puede aparecer sólo en el caso de elegir firmar desde “Certificado en fichero”.

El motivo es porque la longitud de clave del certificado no es compatible no permitiendo realizar la

firma.

7.3.3. Solución

Actualice a la última versión de Java: https://java.com/es/

En las últimas versiones de Java, en la carpeta de instalación se ubican las dos versiones de las polí-ticas de restricción de clave. Localice la siguiente carpeta en su equipo:

C:\Archivos de Programa\Java\jre1.8.0_xxx\lib\security\policy\unlimited\

https://java.com/es/

https://java.com/es/


Copie su contenido a la siguiente carpeta, aceptando la sustitución de los ficheros coincidentes. Es

posible que deba otorgar permisos como administrador del equipo para realizar la copia: C:\Archi-

vos de Programa\Java\jre1.8.0_xxx\lib\security\

Según su versión de Java la ubicación de su instalación de java puede localizarse en Archivos de

programa o Archivos de Programa (x86)


8. COMUNICACIÓN DE INCIDENCIAS Y SUGERENCIAS

Si tiene problemas relacionados con el acceso a las aplicaciones, errores en el procesamiento de los

datos, incidencias en el proceso de firma, tiene a su disposición el formulario del Buzón de Consultas

en la página de la Seguridad Social:


Si su incidencia es técnica, en el apartado “Formule aquí su propia pregunta”, incluya en el texto de

la consulta la siguiente información de su entorno de trabajo: Sistema Operativo, navegador utili-

zado, tipo de certificado utilizado y Autoridad de Certificación emisora, nombre del Servicio o trá-

mite que intenta realizar y código de la incidencia si se muestra en el mensaje de error.


firma normalizada - sede.seg-social.gob.es

Documents